校园网防火墙设计

开篇：润墨网以专业的文秘视角，为您筛选了一篇校园网防火墙设计范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘要:校园网出口的安全和稳定,关系到整个园区内部网络服务的正常使用。选择Linux服务器搭建的防火墙作为出口防火墙的备份,能够比较好地解决出口设备的冗余问题,提高整个网络的健壮性。

关键词:防火墙;Linux;路由策略

中图分类号:TP393 文献标识码:A文章编号:1009-3044(2009)13-3358-02

1 引言

防火墙一词来源于建筑学。在建筑物中,防火墙是用抗热防火材料建成的墙,用来减弱或阻止火势在建筑物中直接地蔓延。同理,在网络环境中,防火墙是一个介于内网和外网之间,保护内部网络免受外网的非法入侵或攻击,由硬件或软件组成的专用设备。

现在经常使用的专业级防火墙,主要有通用CPU和ASIC两种架构。通用CPU架构一般都基于Intel X86的架构,能够方便升级和扩展,但由于这种架构采用的是PCI总线接口,Intel X86架构虽然在理论上能达到2Gbps甚至更高的吞吐量,但在实际应用中,通用CPU的处理能力较差,操作系统尤其是在处理小包时,远远达不到标称性能。ASIC架构通过采用硬件转发模式、多总线技术、数据层面和控制层面分离等技术,解决了带宽容量和性能不足的问题,在稳定性方面也得到了很好的保证。但由于采用纯硬件架构,所以往往价格偏高,灵活性和扩展性也较差。

我校的校园网出口,已经部署了一台ASIC架构的硬件防火墙,但为了应对防火墙硬件突发故障、系统升级这类的事件,需要再接入一台防火墙来保障出口带宽的高可用性。通过综合ASIC架构防火墙价格、备份防火墙的使用率和服务器本身性能等因素分析,设计选择Intel X86架构,基于Linux操作系统的软件防火墙来实现出口冗余,使方案具有更高的性价比。

2 Linux防火墙原理解析

目前出口的硬件防火墙主要通过包过滤和路由协议来保障内外网的通讯。为了达到防火墙冗余的预期效果,Linux防火墙也必须实现这两大功能。

2.1 Iptables数据包过滤

所谓数据包过滤,就是通过匹配数据包中的几个主要元素:比如IP地址、端口信息和使用协议等,有选择性地传输数据,从而保证内网安全。Linux防火墙是利用它内核中Netfilter模块的三个“规则表”,以及每个表中不同内建的“链”(如图1)来实现封包阶段的工作。在Linux中,一般都使用Iptables来管理内核包过虑,它是Linux提供的一个完全免费的软件。Iptables对服务器硬件要求低,功能强大,且规则灵活。通过Iptables命令对Netfilter表中的各个链的操作配置,很好地完成内外网之间流入和流出的数据的处理。

以Filter表传输数据包的过程为例,它内建有INPUT、FORWARD和OUTPUT 3个链,每个链可以设置多个不同规则。当一个数据包到达防火墙,Iptables就会逐条规则检查,看是否符合规则中所定义的条件。如果符合,系统将根据该规则的策略处理该数据包;否则继续匹配下一条规则。假设一个数据包不符合链中所有规则,系统则根据该链预先定义的配置来处理该数据包。

2.2 路由协议选择

当前的校园网有三个外网出口,需要选择合适的路由协议来处理外出数据流向,来缩短到目的网络地址的距离,提高上网速度。

路由协议分为静态路由和动态路由。静态路由需要预先在路由器中手动设置固定的路由表,当内网中的一台主机发送外出访问数据时,路由器将从该路由表中匹配一个能到达目的地址的路由,然后把用户数据送给相应的对端路由器,再由此路由器负责把用户数据最终送达目的地。由于静态路由不能适应网络拓扑变化,一般用于网络规模较小或拓扑结构稳定的网络中。而动态路由协议则不同,它可以实时地适应网络结构变化,并更新路由表以动态地反映网络拓扑变化,更适合网络规模大、网络拓扑复杂的网络。由于校园网外出环境相对稳定,所以选择占用CPU和带宽资源较少的静态路由来完成出口数据包的转发。

3 校园网防火墙设计

3.1 Iptables策略设计

在包转发策略设计中,主要包括内网到外网地址转换(NAT)和服务器区安全(DMZ)两个功能的配置。在Linux系统中,一般可以通过shell编程来批处理Iptables的配置命令,这样也方便以后防火墙策略的启动和维护。

3.1.1 NAT设计

下面的代码以网通接口为例,实现了内网数据通过网通出口来访问外网。

# Interface Information防火墙网通接口信息

# ------------------------------------------------------------

# CNC network parameters

# ------------------------------------------------------------

CNC_IFACE=eth1

CNC_IP_POOL=221.10.18.68-221.10.18.72

# -------------------------------------------------------------

#Nat to Chinanet,CNC,Cernet到网通的NAT

# -------------------------------------------------------------

iptabls -t nat -A POSTROUTING -o $CNC_IFACE -j SNAT --to-source $ CNC_IP_POOL

iptabls -t nat -A POSTROUTING -m state --state ESTABLISHED,RELATED -j ACCEPT

按照同样的方法,便可以设计出内网到电信和教育网的NAT策略。

3.1.2 DMZ设计

下面的代码定义了在DMZ区中服务器IP或端口的映射。

# Function Statement 定义服务器IP,端口映射的映射。

# ------------------------------------------------------------

# Function RelateIp($1=TargetIP, $2=TrueIP)

# ------------------------------------------------------------

function RelateIp()

{

iptabls -t nat -A PREROUTING -d $1 -j DNAT --to $2 }

# ------------------------------------------------------------

# Function RelatePort($1=TargetIP, $2=TargetPort,

# $3=TrueIP, $4=TruePort,

# $5=Tcp or Udp)

# ------------------------------------------------------------

function RelatePort()

{

iptabls -t nat -A PREROUTING -d $1 -p $5 --dport $2 -j DNAT --to $3:$4 }

使用上面定义,就可以根据不同需求,来实现DMZ区服务器的映射和安全。

3.2 策略路由配置

由于校园网外接链路分别由电信、网通和教育网提供,所以首先需要根据带宽供应商提供的地址列表,整理出相应的IP段。然后,根据整理的地址段,编译各个出口的路由shell文档。下面是整理出的部分的教育网路由策略。

# ------------------------------------------------------------

# Cernet Route_table 教育网路由表

# ------------------------------------------------------------

route add -net 59.64.0.0/13 gw 210.41.240.254 dev eth2

route add -net 59.72.0.0/14 gw 210.41.240.254 dev eth2

route add -net 59.76.0.0/16 gw 210.41.240.254 dev eth2

在多路由表的Linux服务器上,所有的路由操作,都需要首先对照预先设置的路由表,如果没有与之匹配的路由,则按照默认的主路由进行操作。所以设计中,只需整理出到教育网和网通地址的路由表。当没有与它们匹配的路由时,则默认从电信出口访问。

4 总结

通过本文,了解了校园网防火墙的基本设计思路以及具体的设计。实际上,Linux防火墙不但可以为校园网的出口安全提供保障,还可以利用Linux丰富的软件资源,来实现优化出口带宽,日志管理等功能。

参考文献:

[1] Carasik-Henmi A.防火墙核心技术精解[M].李华飚,柳振良,王恒,等,译.北京:中国水利水电出版社,2005.

[2] 李蔚泽.Red Hat Linux 9网络管理[M].北京:清华大学出版社,2004.

[3] Kochan S G,Wood P.UNIX SHELL编程[M].3版.袁科萍,岑岗,译.北京:中国铁道出版社,2004.

[4] Bwllovin C.防火墙与因特网安全[M].戴宗坤,罗万伯,译.北京:机械工业出版社,2000.

[5] 吴进.基于2.4以上版本内核的Linux防火墙技术研究[J].西安邮电学院学报,2008(3).

[6] 郑超,高学全,张建勋.基于Linux防火墙的局域网安全环境设计与实现[J].科学技术与工程,2008(11).

[7] 马永红,骆小红.基于Linux系统实现校园网多出口策略路由的研究与应用[J].科技信息,2008(10).

[8] 农强,Linux IP策略路由及其在校园网中的应用[J].计算机与现代化,2008(10).

顾峰(1981-),男,四川南充人,助理工程师,学士,研究方向:计算机网络。